Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Информация | ||
---|---|---|
| ||
|
Общие сведения
В данной статье сравнивается работа режима Киоск-2 и режима киоска в ОС СН Смоленск 1.6.
Киоск (или режим киоска) -- это инструмент подсистемы безопасности PARSEC, который служит для управления ограничениями пользователей в системе. Работу режима киоска обеспечивает пакет parsec-kiosk.
Киоск-2 (или режим Киоск-2) – это новый инструмент PARSEC, заменяющий режим киоска. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям и представляет собой обновлённую версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления ОС СН Смоленск 1.6 № 20190912SE16 .
Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.
Описание работы режимов киоска и Киоск-2 приведено в Руководство по комплексу средств защиты информации, часть 1, глава 16, пункты 2 и 3.
Якорь | ||||
---|---|---|---|---|
|
Основные отличия в работе Киоск-2 и режима киоска
Критерий сравнения | Киоск-2 (parsec-kiosk2) | Киоск (parsec-kiosk) | |||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Маскирование прав | Нет. | Есть. | |||||||||||||||
Включение контроля доступа | 1) Включение контроля доступа с сохранением данного состояния до перезагрузки ОС:
| Включение контроля доступа с сохранением данного состояния после перезагрузки ОС:
| |||||||||||||||
Отключение контроля доступа | 1) Отключение контроля доступа с сохранением данного состояния до перезагрузки ОС:
| Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС:
| |||||||||||||||
Включение режима протоколирования | 1) Включение протоколирования с сохранением данного состояния до перезагрузки ОС:
| Нет. | |||||||||||||||
Отключение режима протоколирования | 1) Отключение протоколирования с сохранением данного состояния до перезагрузки ОС:
| Нет. | |||||||||||||||
Протоколирование процессов через консоль | Через dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов). | Через otrace. | |||||||||||||||
Синтаксис профилей | Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.
В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).
|
Метасимволы недоступны, в профилях всегда указывается конкретный файл. Синтаксис режима киоска отличается тем что:
| |||||||||||||||
Регулирование доступа к файлам, не существующим на момент применения профиля | Допускается регулирование доступа к файлам, не существующим на момент применения профиля. | Файл должен существовать заранее. | |||||||||||||||
Использование средств ядра ОС | Имеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей). | Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения. | |||||||||||||||
Отсутствие профиля пользователя user1 | Пользователю user1 разрешены любые действия. Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2. | Пользователю user1 запрещены любые действия. Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю. | |||||||||||||||
fly-admin-kiosk | При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2.
Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:
| Для работы с fly-admin-kiosk требуется предварительная настройка. Пакет fly-admin-kiosk позволяет:
|